На freebsd использую ng_netflow, для анализа пройденного через него трафика. Трафик по интерфейсу bge0 (ip 10.10.10.200) пересылается для анализа на 10.10.10.10.

#!/bin/sh

kldload ng_netflow
kldload ng_eiface
kldload ng_split

ngctl -f- <<-SEQ
mkpeer bge0: split lower mixed
name bge0:lower splitlow
mkpeer splitlow: netflow  out iface1

name splitlow:out netflow
mkpeer netflow: split out1 in

name netflow:out1 splitup

connect splitup: bge0: mixed upper
connect splitup: netflow: out iface0
connect splitlow: netflow: in out0

mkpeer netflow: ksocket export inet/dgram/udp
msg netflow:export  bind inet/10.10.10.200:4444
msg netflow:export connect inet/10.10.10.10:9996
SEQ

для анализа используется Netflow Analyzer 5.
Вроде всё считается, но вот только почему то идет накрутка траффика. Т.е. например прокачиваем 700 метровый файл через этот интерфейс, а netflow говорит что прокачали 750. Причем, что по фпт, что по хттп качаем, все равно прибавляет мегабайт 40~50. С чем это может быть связано?

• Расхождение трафика,RomanG, 17:48 , 25-Май-06
• Расхождение трафика,Skif, 20:15 , 25-Май-06
  • Расхождение трафика,kaz, 10:05 , 26-Май-06

Нормальные накладные расходы...

Вы соединение устанавливете? Знаете что такое тройное пожптие и т.д.? Или данные передаются аки манна небесная?

>Вы соединение устанавливете? Знаете что такое тройное пожптие и т.д.? Или данные
>передаются аки манна небесная?

нет, я конечно же подозревал, что в сети существует и служебный трафик :) но в таких количествах???

господа, я буду вам бесконечно признателен (просто я хочу успокоить свою душу по поводу этого вопроса) если вы померяете (не обязательно с помощью netgraph, а даже лучше и чем-то другим) где-нибудь у себя на шлюзе - сколько занимает трафика прохождение, например, 700 мб файла. Если и у вас при передаче по ftp/http 700 мб превратятся в ~750. то вопрос будет закрыт.

заранее спасибо!